Vereinbarung zur Auftragsbearbeitung (ADV)

zwischen

Kunde/Kundin
gemäss Vertrag

und

Anbieterin
chrisign gmbh
Schmidstrasse 9
8570 Weinfelden

A. Allgemeine Bestimmungen

1. Gegenstand und Anwendungsbereich dieser Vereinbarung

  1. Diese Vereinbarung über die Auftragsbearbeitung ("Vereinbarung") konkretisiert die Rechte und Pflichten der Parteien in Bezug auf die Auftragsbearbeitung, die sich für sie aus dem anwendbaren Datenschutzrecht ergeben. Sie ergänzt diesbezüglich die vertraglichen Vereinbarungen zwischen den Parteien. Dabei kann es sich um einen einzelnen oder mehrere Verträge zwischen den Parteien über die Leistungserbringung für den Kunden handeln ("Vertrag").
  2. Die Vereinbarung gilt nur in Bezug auf Dienstleistungen, bei denen die Anbieterin Personendaten im Auftrag und für Zwecke des Kunden bearbeitet ("Auftragsbearbeitung"), wobei der Kunde entweder Verantwortlicher oder Auftragsbearbeiter und die Anbieterin entweder Auftragsbearbeiterin oder Unter-Auftragsbearbeiterin ist.
  3. Diese Vereinbarung ist ein integraler Bestandteil des Vertrags. Die Bestimmungen dieser Vereinbarung schränken die Rechte und Pflichten der Parteien in Bezug auf die Erbringung von Dienstleistungen unter dem Vertrag nicht ein. Ihren Regelungsgegenstand betreffend gehen die Bestimmungen dieser Vereinbarung indes den Bestimmungen des Vertrags vor.

2. Laufzeit der Vereinbarung

  1. Die Laufzeit dieser Vereinbarung entspricht der Dauer des Vertrags, sofern sich aus den Bestimmungen dieser Vereinbarung keine zeitlich darüberhinausgehenden Verpflichtungen ergeben. Bei solchen überdauernden Verpflichtungen besteht diese Vereinbarung so lange fort, bis die entsprechenden Verpflichtungen erloschen sind.
  2. Durch diese Regelung modifizieren die Parteien nicht die im Vertrag vereinbarten Kündigungsrechte.

3. Definitionen

  1. Die in dieser Vereinbarung in Fettschrift hervorgehobenen und in Anführungs- und Schlusszeichen gesetzten Begriffe haben in der gesamten Vereinbarung die ihnen darin zugeschriebene Bedeutung.
  2. Die in dieser Vereinbarung verwendeten datenschutzbezogenen Begriffe wie "Personendaten" (personenbezogene Daten), "betroffene Person", "Verantwortlicher", "Auftragsbearbeiter", oder "Datenschutz-Folgenabschätzung" haben die ihnen im Schweizer DSG bzw. (wo anwendbar) in der EU-DSGVO zugeschriebene Bedeutung.

B. Beschreibung der Auftragsbearbeitung und Pflichten der Parteien

1. Verantwortlichkeit

  1. Die Anbieterin bearbeitet personenbezogene Daten im Auftrag des Kunden. Der Kunde ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an die Anbieterin sowie für die Rechtmässigkeit der Datenbearbeitung allein verantwortlich («Verantwortlicher»).

2. Angaben zur Auftragsbearbeitung und Zweck

  1. Gegenstand und Zweck der Auftragsbearbeitung:
    Die Anbieterin erbringt im Auftragsverhältnis Onlinedienstleistungen namentlich die Konzeptionierung, Erstellung, Weiterentwicklung und Wartung von Webseiten und Webapplikationen, die individuell für den Kunden angefertigt werden. Darüber hinaus erbringt die Anbieterin Dienstleistungen und Beratungstätigkeiten im Bereich Online-Marketing, Suchmaschinenoptimierung, Newslettermarketing und (online) Werbung.
    Im Rahmen und zur Ausübung ihrer Tätigkeit erhält die Anbieterin unter anderem Einsicht in und Zugriff auf personenbezogene Daten, die über das Content Management System (CMS), die Webseite, die Webapplikation oder im Rahmen eines anderen, für und im Auftrag des Kunden genutzten Systems (z.B. Newsletter, Buchhaltung, SMS/Telefondienstleister, etc.), eingegeben, gespeichert, erhoben oder bearbeitet werden.
    Gegenstand und Zweck des jeweiligen Auftrags ist in Anhang A (ergänzend in der Offerte, einem Konzept oder einer Auftragsbeschreibung) festgehalten. Die Anbieterin bearbeitet die personenbezogenen Daten ausschliesslich nach der getroffenen Vereinbarung und zur Erbringung der Dienstleistung(en). Die Datenarten sowie die Kategorie der betroffenen personenbezogenen Daten sind abhängig vom Auftrag sowie den vom Kunden übermittelten Daten. Anfragen zur Löschung, Sperrung und Berichtigung sind an den Kunden zu richten; im Übrigen gelten die Regelungen des Vertrags.
  2. Die Auftragsbearbeitung erfolgt in der Schweiz.
  3. Die Unter-Auftragsbearbeitung kann je nach gewählten Dienstleistern/Tools weltweit stattfinden.
  4. Die Dauer der Bearbeitung bestimmt sich nach Teil A/Ziffer 2.

3. Weisungsgebundenheit, Zweckbindung und Kontrolle

  1. Die Anbieterin verpflichtet sich und sichert zu, dass die Anbieterin alle vertragsgegenständlichen Personendaten (i) ausschliesslich zu den in Ziffer 4 beschriebenen Zwecken, (ii) in Übereinstimmung mit den Weisungen des Kunden sowie (iii) in Übereinstimmung mit dieser Vereinbarung bearbeitet; und (iv) nicht für eigene Zwecke verwendet.

4. Datensicherheit

  1. Die Anbieterin verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der vertragsgegenständlichen Personendaten angemessene technische und organisatorische Schutzmassnahmen zu treffen. Diese Massnahmen sind in Anhang C aufgeführt.

5. Meldung von Verletzungen der Datensicherheit

  1. Wenn die Anbieterin eine Verletzung der Sicherheit bemerkt, die darin besteht, dass vertragsgegenständliche Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden ("Verletzung der Datensicherheit"), wird die Anbieterin die Verletzung der Datensicherheit so rasch als möglich und ohne schuldhaftes Zögern dem Kunden melden. Die Anbieterin wird die Verletzung der Datensicherheit sodann (i) untersuchen und die Auswirkungen ermitteln, (ii) den Kunden detailliert über die Verletzung der Datensicherheit informieren und (iii) angemessene Massnahmen ergreifen, um die Auswirkungen zu mildern und das Risiko, das sich aus der Verletzung der Datensicherheit für betroffene Personen möglicherweise ergibt, so gering wie möglich zu halten.
  2. Die Anbieterin wird den Kunden in angemessener Weise unterstützen, um ihn bei der Erfüllung ihrer Verpflichtungen zu unterstützen, Verletzungen der Datensicherheit an zuständige Aufsichtsbehörden oder an betroffene Personen zu melden.

6. Informations- und Unterstützungspflichten

  1. Die Anbieterin verpflichtet sich, den Kunden so rasch als möglich und von sich aus zu informieren, (i) wenn die Anbieterin der Ansicht ist, dass die Anbieterin in absehbarer Zeit nicht mehr in der Lage ist, den Pflichten gemäss dieser Vereinbarung nachzukommen; sowie (ii) über jede Anfrage zur Ausübung von Betroffenenrechten, welche die Anbieterin direkt von betroffenen Personen in Bezug auf vertragsgegenständliche Personendaten erhalten hat (vorausgesetzt, die Anbieterin kann eine Zuordnung an die betroffene Person gestützt auf die Angaben der betroffenen Person vornehmen; andernfalls wird die Anbieterin die betroffene Person bitten, sich an die für die Datenbearbeitung Verantwortliche zu wenden).
  2. Die Anbieterin verpflichtet sich, den Kunden auf Anfrage und gegen separate Vergütung bei der Beantwortung von Anfragen betroffener Personen zur Ausübung datenschutzrechtlicher Betroffenenrechte zu unterstützen.
  3. Zudem verpflichtet sich die Anbieterin, den Kunden auf Anfrage und gegen separate Vergütung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen von Datenschutzaufsichtsbehörden zu unterstützen.
  4. Die Anbieterin stellt dem Kunden alle Informationen zur Verfügung, welche er vernünftigerweise für den Nachweis der Einhaltung ihrer Verpflichtungen aus dem anwendbaren Datenschutzrecht in Bezug auf die Auftragsbearbeitung benötigt. Auf Anfrage des Kunden stellt die Anbieterin zudem allfällige Berichte zur Informationssicherheit bereit, die eine Prüfgesellschaft oder Zertifizierungsstelle in Bezug auf die Dienstleistungen der Anbieterin oder ihrer Unter-Auftragsbearbeiter erstellt hat.

7. Geheimhaltung

  1. Die Anbieterin verpflichtet sich zur Geheimhaltung der vertragsgegenständlichen Personendaten und hat die mit der Auftragsbearbeitung betrauten Personen zur Wahrung der Vertraulichkeit zu verpflichten.
  2. Diese Geheimhaltungsverpflichtungen gelten auch nach Beendigung dieser Vereinbarung für unbeschränkte Dauer weiter.

8. Unter-Auftragsbearbeiter

  1. Unter-Auftragsbearbeiter sind natürliche oder juristische Personen, welche die Anbieterin für die Auftragsbearbeitung beizieht. Die Anbieterin ist berechtigt, Unter-Auftragsbearbeiter beizuziehen. Die Anbieterin ist in solchen Fällen verpflichtet, mit Unter-Auftragsbearbeitern im erforderlichen Umfang eine Vereinbarung über die
    (Unter-)Auftragsbearbeitung zu treffen, die der Anbieterin die Einhaltung der Bestimmungen der vorliegenden Vereinbarung zwischen der Anbieterin und dem Kunden ermöglicht. Dies beinhaltet auch die Überbindung der Geheimhaltungspflichten der Anbieterin auf den Unter-Auftragsbearbeiter. Die von der Anbieterin bei Vertragsunterzeichnung beigezogenen Unter-Auftragsbearbeiter sind in Anhang B aufgeführt.

9. Rückgabe oder Löschung vertragsgegenständlicher Personendaten bei Vertragsbeendigung

  1. Die Anbieterin wird die vertragsgegenständlichen Personendaten nach Beendigung des Vertrags nach Massgabe der diesbezüglichen Bestimmungen im Vertrag löschen oder, wenn diese dies wünscht, in einem geeigneten Format an den Kunden zurückgeben.

10. Audit

  1. Der Kunde kann bei der Anbieterin einmal jährlich ein Audit zur Prüfung der Sicherheitsmassnahmen oder der sonstigen Einhaltung dieser Vereinbarung durchführen oder durchführen lassen. Die Kosten dafür trägt der Kunde. Die Anbieterin unterstützt die Audits im Rahmen eines verhältnismässigen Aufwands unentgeltlich.
  2. Die Prüfungs- und Auditrechte gemäss dieser Vereinbarung gelten nur insoweit als der Vertrag dem Kunden nicht anderweitig erlaubt, die Erfüllung dieser Vereinbarung durch die Anbieterin zu prüfen und zu auditieren.

Ort, Datum / (Vertretungsberechtigter der Kundin) 

Weinfelden, 24. August 2023

gez. Natal Schnetzer (Geschäftsführer, Inhaber chrisign gmbh)

[Diese Vereinbarung ist ohne Unterschrift gültig]

Anhänge:

  • Anhang A: Erweiterung zur Auftragsbearbeitungsvereinbarung
  • Anhang B: Unterauftragsverhältnisse
  • Anhang C: Technische und organisatorische Massnahmen

Anhang A: Erweiterung zur Auftragsbearbeitungsvereinbarung

Die Art, der Zweck sowie die Kategorie der personenbezogenen Daten ist je nach Projekt (Webseite, Webapplikation, Online-Marketing) unterschiedlich und wird durch den Auftraggeber / Kunde definiert und vorgegeben. Die Anbieterin erhält zur Auftragsausführung respektive zur Erbringung Ihrer Dienstleistung / Tätigkeit Zugriff und Einblick in diese Daten. 

Gegenstand des Auftrags:
Bearbeitung von personenbezogenen Daten des Kunden/Auftraggebers im Rahmen seiner Nutzung der Leistungen gemäss Vertrag / Offerte / Auftragsbeschreibung.

Art und Zweck der vorgesehenen Bearbeitung von Daten:
Die vom Kunden / Auftraggeber bearbeiteten oder erhobenen Daten werden an die Anbieterin sowie genannte Unter-Auftragsbearbeiter im Rahmen und zur Erfüllung der Dienstleistungen übertragen. Die Anbieterin bearbeitet diese Daten ausschliesslich nach der getroffenen Vereinbarung (Offerte, Konzept, Auftragsbeschreibung).

Art der personenbezogenen Daten:
Die Datenarten hängen von den durch den Auftraggeber übermittelten Daten respektive der über die Webseite / Webapplikation übermittelte Daten ab. Diesen sind abhängig vom Auftrag:

  • Personenstammdaten einschliesslich Kontaktdaten
  • Weitere Daten abhängig vom Auftrag/Projekt.

Kategorien betroffener Personen:
Die Kategorien der betroffenen Personen hängen von den durch den Kunden übermittelten Daten ab respektive ergeben sich aus dem Auftrag. Diese sind (abhängig vom Auftrag) unter anderem:

  • Mitarbeiter (einschliesslich Bewerber und ehemalige Mitarbeiter) des Auftraggebers,
  • Kunden des Auftraggebers
  • Interessenten des Auftraggebers
  • Dienstleister des Auftraggebers
  • Kontaktdaten zu Ansprechpartnern, Mitgliedern
  • Weitere Daten abhängig vom Auftrag/Projekt

Löschung, Sperrung und Berichtigung von Daten:
Anfragen zur Löschung, Sperrung und Berichtigung sind an den Auftraggeber zu richten; im Übrigen gelten die Regelungen des Vertrages.

Anhang B: Unterauftragsverhältnisse

Soweit nicht anders vereinbart (Konzept, Offerte, Auftragsbeschreibung) arbeitet die Anbieterin mit folgenden Unternehmen zur Erbringung Ihrer Dienstleistung zusammen.

Unterauftragnehmer
Anschrift /Land

Leistung

Nine Internet Solutions AG
Badenerstrasse 47
8004 Zürich
Schweiz

 

Business Hosting inkl. Speicherung der Kundendaten
(Serverstandort Zürich)

Hostpoint AG
Neue Jonastrasse 60
8640 Rapperswil-Jona
Schweiz

 

Webhosting und E-Mailhosting inkl. Speicherung der Kundendaten (Serverstandort Kanton Zürich)

Atlassian. Pty Ltd
Level 6, 341 George Street
Sydney NSW 2000
Australien

 

Jira: Projektmanagementtool / Ticketsystem

bexio AG
Alte Jonastrasse 24
8640 Rapperswil
Schweiz

 

Kundendaten, Buchhaltung, Lohnbuchhaltung, Rechnungswesen der Anbieterin

Clockodo GmbH
Viktoriastraße 25 A
59425 Unna
Deutschland

 

Zeiterfassung/Projektmanagement der Anbieterin
(Serverstandort Deutschland)

Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
USA

 

Officeprodukte inkl. E-Mail und Microsoft Teams für Videokonferenzen/Meetings

Sendinblue GmbH
Köpenicker Straße 126
10179 Berlin
Deutschland

Brevo:
Versand von Newslettern der Anbieterin
(Serverstandort EU, Deutschland / Belgien))

Anhang C: Technisch-Organisatorische Massnahmen

  1. Die Anbieterin dokumentiert die Umsetzung der erforderlichen technischen und organisatorischen Massnahmen.
  2. Insgesamt handelt es sich bei den zu treffenden Massnahmen um Massnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Bearbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
  3. Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Anbieterin gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

 

Technische und organisatorische Massnahmen (TOM) chrisign gmbh

Werden auf Anfrage zur Verfügung gestellt.

071 622 67 41